电力企业信息化安全现状及管理对策

程序等，造成企业内部网络存在入侵者可利用的缺陷。当厂商通过发布补丁或升级软件来解决安全问题时，许多用户系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。有些信息系统采用开放的操作系统，安全级别低，又没有附加安全措施，难以抵御黑客和信息炸弹的攻击。

2.2.2企业信息管理革新明显滞后技术发展

相对于信息技术的发展与应用，电力企业管理革新处于落后状况。有的企业引入了先进的业务系统、管理系统，而管理模式未能实施有效革新，最终导致了信息系统未能发挥预期的、应有的作用。由于信息安全工作具有专业性强，知识面广的特点，目前电力企业从事信息安全管理工作的技术人才显得相对缺乏。

2.2.3用户身份认证和访问控制不够

在实际应用中，电力企业部分应用系统的用户权限管理功能过于简单，不能灵活实现更细的权限控制;部分应用系统没有一个统一的用户管理，无法保证账号的有效管理和安全;同时因缺乏严格的验证机制，导致非法用户使用关键业务系统;不同业务系统之间缺少较细粒度的访问控制。

2.2.4企业工作人员安全意识淡薄

企业人员忙于利用网络工作学习，对网络信息的安全性无暇顾及，安全意识淡薄。电力企业注重的是网络效应，对安全领域的投入和管理不能满足安全防范的要求，网络信息安全处于被动的封堵漏捌状态。工作人员安全意识不强，如共用口令、随意复制及传播企业内部信息等，增加了黑客进攻的机会和信息泄露的风险，这都将给企业网络信息安全埋下隐患。

2.2.5企业信息资产管理风险较高

信息资产的高风险性源自于信息资产传播的低成本性。在激烈竞争的市场环境中信息资产的安全风险较高。一般来说，信息资产经常处于公共的介质中或处于流动状态，这就使信息资产的复制成本较低，从而导致企业拥有和控制的信息资产的安全性很差。没有安全保障的信息资产，谈不上资产价值。信息资产具有工程性和社会性的软硬属性，短期无法量化，价值的确认存在风险，管理的过程中也存在类似风险。

3 电力企业信息安全管理对策

3.1建立信息安全管理组织架构

电力企业信息安全管理可按照“谁主管谁负责，谁运营谁负责”原则，实行统一领导、分级管理。信息安全领导小组由企业的决策层组成。信息安全工作小组由企业各部门管理成员组成，是企业信息安全工作的管理层。信息安全执行层包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组和企业各业务支撑部门。企业信息安全实行专业化管理，进行监督。图1是一个典型的电力企业信息安全管理组织架构。

3.2构建信息安全管理体系框架

电力企业信息安全管理体系可建立在信息安全模型与电力信息化的基础上，分为信息安全策略、安全管理、安全运行、安全技术措施4个模块，信息安全管理通过安全运行实现，安全技术作为信息安全的基础支撑，可辅助实现安全管理和运行安全。典型电力企业信息安全管理体系框架如图2所示。

3.3确立企业信息安全防护策略

在管理信息系统安全防护策略方面：进行双网双机管理，将信息网划分为信息内网和信息外网，内外网间采用逻辑强隔离装置进行隔离，内外网分别采用独立的服务器及桌面终端;根据业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护;将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行纵深防御的安全防护措施设计。

在电力二次系统安全防护策略方面：将电力企业内部基于计算机和网络技术的应用系统，原则上划分为生产控制区和管理信息区;建立电力调度数据网专用网络，承载电力实时控制、在线生产交易等业务;采用不同强度的安全设备隔离各安全区，在生产控制区与管理信息区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。

3.4加强信息安全管理制度建设

3.4.1信息安全管理基本制度

建立计算机系统使用管理制度，对应用系统重要数据的修改，需要经过授权并由专人负责并登记日志。建立资产管理制度，根据资产重要程度对资产进行标识和管理。建立健全变更管理制度，保证所有与外部系统的连接均得到授权和批准。建立和执行密码使